JP6574332B2 - データ分析システム - Google Patents
データ分析システム Download PDFInfo
- Publication number
- JP6574332B2 JP6574332B2 JP2015065210A JP2015065210A JP6574332B2 JP 6574332 B2 JP6574332 B2 JP 6574332B2 JP 2015065210 A JP2015065210 A JP 2015065210A JP 2015065210 A JP2015065210 A JP 2015065210A JP 6574332 B2 JP6574332 B2 JP 6574332B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- analysis
- computer
- time zone
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Description
図1〜図11を用いて、本発明の実施の形態1のデータ分析システムについて説明する。
図1は、実施の形態1のデータ分析システムを含むセキュリティ侵害行為検出システムの構成を示す。図1では、システム全体をセキュリティ侵害行為検出システムとした。セキュリティ侵害行為検出システムは、ネットワーク9に接続される、データ分析システム1、管理対象システム2、及びイベント検出システム3を有する。
図2は、データ分析システム1等の各システムの構成を示す。管理対象システム2の各計算機20、例えばグループ41の計算機211は、リソース状態計測部200を有する。リソース状態計測部200は、計算機20のCPU使用率やメモリ使用量等のリソース状態を計測し、そのリソース状態計測値201を含むログデータ101を出力する。
図3は、実施の形態1のデータ分析システムにおける処理フローを示す。以下、図3のステップS1〜S9を順に説明する。
図4は、実施の形態1のデータ分析システムにおける、ルール情報70の構成例を示す。図4のルール情報の表は、列として、「ID」、「ルール名称」、「条件」、「判定対象及び期間」、「比較対象及び期間」を有する。「ID」は、ルールを識別する一意の番号を示す。「ルール名称」は、ルールの名称を示す。「条件」は、当該ルールでの判定用の条件を示し、条件として閾値等を含む。
図5は、管理対象システム2の計算機20から得られたログデータにおける数値データの例を示す。図5のログデータの表は、列として、「日時」、「計算機C11」、「グループG1(WG)」を有する。図示しないが、他の計算機やグループについても同様に情報が管理される。図5の上側の表は、図1の計算機211である計算機C11に関する情報部分を示し、図5の下側の表は、続いて、図1のグループ41であるグループG1に関する情報部分を示す。分析対象判定部12で処理対象となる数値データは、収集されたログデータのうち、図5のように、CPU使用率等の、数値で表される数値データである。
図6〜図9は、図5のようなログデータに対応した、時系列の数値データに関するグラフ表示の例を示す。図6はCPU使用率、図7はメモリ使用量、図8はディスク使用量、図9はhttpdプロセス数に関するそれぞれのグラフを示す。データ分析システム1は、ログデータの各リソース状態計測値の数値データのグラフを作成し、入出力部14を通じて画面に当該グラフを表示する機能を有する。
図3のS7の分析対象判定処理の例は以下である。分析対象判定部12は、図4のルール情報70、図5のログデータの数値データに基づいて、分析対象を判定する。図5の表の「2015/01/10 10:05:00」時点の数値データにおいて、CPU使用率等の項目毎に、計算機C11の数値データを、判定対象の特徴量とし、グループG1の平均値を、比較対象の基準値である特徴量とする。分析対象判定部12は、ルールとして、同一時間帯のグループG1の複数の計算機20間で、計算機20毎及び項目毎に、比較判定を行う。
図10は、データ分析システム1の入出力部14により提供される画面例を示す。図10の画面例は、「管理対象システム」の欄501、「ルール設定」の欄502、「分析対象情報」の欄503を有する。
図11は、補足として、分析対象判定処理やルールにおける、複数の数値データの比較の例について示す。縦方向は、例えばグループG1の複数の計算機20を示す。横方向は、時間軸として左を現在、右を過去として、時間帯を示す。時間帯T1は最新の時間帯を示す。各枠は、該当する計算機及び時間帯におけるログデータを示す。L11等はログデータの識別情報を示す。
以上説明したように、実施の形態1のデータ分析システム1によれば、管理対象システム2の計算機20のセキュリティ侵害対策のためにデータ分析に基づいて攻撃等を検出する際、分析に必要な手間、時間、資源を少なくでき、迅速で効率的な分析及び検出ができ、未知の攻撃等を含め、検出精度を高めることができる。
図12を用いて、本発明の実施の形態2のデータ分析システムについて説明する。実施の形態2の基本的な構成は、実施の形態1の構成と同様である。以下、実施の形態2における実施の形態1とは異なる構成の部分について説明する。
他の実施の形態のデータ分析システムとして、以下が挙げられる。
Claims (7)
- 管理対象システムの計算機に対するセキュリティ侵害行為を検出するために、前記計算機のログデータを分析するサーバを含むデータ分析システムであって、
前記サーバは、
複数の計算機を含む前記管理対象システムと、前記管理対象システムの前記計算機を監視してイベントを検出してイベントデータとして出力する、アンチウィルスシステム、プロキシシステム、ファイアウォールシステムまたは侵入検知システムの少なくとも1つを含むイベント検出システムとに接続され、
前記管理対象システムの前記計算機からリソース状態計測値の数値データおよびテキストデータを含むログデータを収集してログDBに格納し、前記イベント検出システムから前記イベントデータを収集して前記ログデータと関連付けて前記ログDBに格納するデータ収集部と、
前記ログデータのうちの前記数値データおよびテキストデータを、それぞれ、ルール情報に基づいて、分析することにより、分析対象として絞り込むログデータを判定する分析対象判定部と、
分析者の操作に基づいて、前記ログデータのうち前記分析対象として絞り込まれたログデータを、前記ログデータに関連付けられた前記イベントデータを加えて、前記セキュリティ侵害行為を検出するために分析処理し、分析結果である分析データを出力するデータ分析部と、
前記分析者の操作に基づいて、前記ルール情報のルールを設定する設定部と、を備え、
前記分析対象判定部は、
前記ログデータのうちの前記数値データおよびテキストデータを用いて、判定対象の計算機及び時間帯における特徴量を計算または設定する処理と、
前記ログデータのうちの前記数値データおよびテキストデータを用いて、比較対象の計算機及び時間帯における特徴量を基準値として計算または設定する処理と、
前記特徴量と前記基準値とを比較し、前記ルール情報の前記ルールを満たす場合、前記セキュリティ侵害行為が疑われる異常状態として判定する処理と、
前記異常状態に該当する前記計算機、時間帯、及びログデータを、前記分析対象として決定する処理と、
前記分析対象として絞り込んだ前記計算機、時間帯、及びログデータの識別情報を含む、分析対象情報を、分析DBに格納し、前記分析対象情報を含む画面を前記分析者に対して表示する処理と、を行い、
前記リソース状態計測値の前記数値データは、CPU使用率、メモリ使用量、ディスク使用量、またはサーバプロセス数、のうち少なくとも1つを含み、
前記ルール情報は、前記特徴量と前記基準値との偏差が閾値を超える場合に前記異常状態と判定する条件を含む前記ルールを有し、
前記データ分析部は、前記分析DBの前記分析対象情報を参照して、前記分析対象として絞り込まれた前記ログデータを読み出して前記分析処理を行い、
前記サーバは、前記複数の計算機の各計算機間で、負荷またはリソース状態に偏りがある場合に、前記ルール情報の前記ルールに対し、前記各計算機の負荷またはリソース状態を平準化して比較可能にするための補正係数を設定する、
データ分析システム。 - 請求項1記載のデータ分析システムにおいて、
前記分析対象判定部は、
前記判定対象の第1の計算機及び現在時間帯に対応する第1の時間帯における特徴量を計算または設定し、
前記比較対象の1台以上の第2の計算機及び前記第1の時間帯における特徴量の統計値を前記基準値として計算または設定する、
データ分析システム。 - 請求項1記載のデータ分析システムにおいて、
前記分析対象判定部は、
前記判定対象の第1の計算機及び現在時間帯に対応する第1の時間帯における特徴量を計算または設定し、
前記比較対象の前記第1の計算機及び1つ以上の過去時間帯に対応する第2の時間帯における特徴量の統計値を前記基準値として計算または設定する、
データ分析システム。 - 請求項1記載のデータ分析システムにおいて、
前記分析対象判定部は、前記判定対象の計算機及び時間帯における前記数値データをそのまま前記特徴量として設定し、前記比較対象の前記管理対象システムの1台以上の計算機及び時間帯における前記数値データの平均値を計算して前記基準値として設定する、
データ分析システム。 - 請求項1記載のデータ分析システムにおいて、
前記分析対象判定部は、前記判定対象の計算機及び時間帯における前記数値データにおける時系列の複数の数値における変化量を計算し、当該変化量と閾値との比較に基づいて、当該変化量が大きい箇所を抽出し、当該箇所の数値を前記特徴量として設定する、
データ分析システム。 - 請求項1記載のデータ分析システムにおいて、
前記管理対象システムの前記複数の計算機に、前記複数の計算機の負荷を分散して各計算機のリソース状態を平準化するための負荷分散装置が接続されており、
前記サーバは、前記負荷分散装置から、負荷分散状態を示す負荷分散情報を取得し、前記負荷分散情報を用いて前記補正係数を設定する、
データ分析システム。 - 請求項1記載のデータ分析システムにおいて、
前記サーバは、前記分析対象として絞り込まれたログデータについて、前記異常状態の疑いに応じて、分析対象の順序または優先度を決定し、前記順序または優先度に応じて並び替えたログデータを前記画面に表示する、
データ分析システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015065210A JP6574332B2 (ja) | 2015-03-26 | 2015-03-26 | データ分析システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015065210A JP6574332B2 (ja) | 2015-03-26 | 2015-03-26 | データ分析システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016184358A JP2016184358A (ja) | 2016-10-20 |
| JP6574332B2 true JP6574332B2 (ja) | 2019-09-11 |
Family
ID=57243049
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015065210A Expired - Fee Related JP6574332B2 (ja) | 2015-03-26 | 2015-03-26 | データ分析システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6574332B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102244128B1 (ko) * | 2020-10-19 | 2021-04-23 | (주)시큐레이어 | 컴퓨팅 리소스 수용량에 기반한 네트워크 공격 강도 측정 기법을 사용하는 네트워크 호스트 공격 탐지 방법 및 장치 |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6756378B2 (ja) * | 2016-12-27 | 2020-09-16 | 日本電気株式会社 | 異常検出方法、システムおよびプログラム |
| JP6656211B2 (ja) | 2017-08-02 | 2020-03-04 | 三菱電機株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
| KR101842925B1 (ko) * | 2017-09-29 | 2018-03-28 | (주)닥터소프트 | 소프트웨어의 라이선스 사용량 분석 방법 및 이를 수행하는 라이선스 관리 서버 |
| JP7056103B2 (ja) * | 2017-11-30 | 2022-04-19 | 富士通株式会社 | 情報処理システム、情報処理装置、負荷分散装置、情報処理プログラムおよび情報処理方法 |
| JP2020024650A (ja) * | 2018-08-06 | 2020-02-13 | 沖電気工業株式会社 | セキュリティ情報処理装置、プログラム及び方法 |
| JP7151548B2 (ja) * | 2019-02-26 | 2022-10-12 | 富士通株式会社 | 異常検知プログラム、異常検知方法及び異常検知装置 |
| JP7202932B2 (ja) * | 2019-03-14 | 2023-01-12 | 三菱電機株式会社 | サイバー攻撃検知装置 |
| WO2020257729A1 (en) | 2019-06-21 | 2020-12-24 | Cyemptive Technologies, Inc. | Method to prevent root level access attack and measurable sla security and compliance platform |
| JP7283314B2 (ja) * | 2019-09-02 | 2023-05-30 | 富士通株式会社 | スイッチ装置及び情報処理システム |
| KR102265137B1 (ko) * | 2019-11-29 | 2021-06-15 | (주) 앤앤에스피 | 자동화 제어 시스템의 리소스 플로우 기반 보안 감시 시스템 |
| JP7605208B2 (ja) * | 2020-05-18 | 2024-12-24 | 株式会社オートネットワーク技術研究所 | 検知装置、車両、検知方法および検知プログラム |
| JP7103392B2 (ja) * | 2020-08-25 | 2022-07-20 | 日本電気株式会社 | 異常検出方法、システムおよびプログラム |
| JP7527899B2 (ja) * | 2020-09-03 | 2024-08-05 | 株式会社東芝 | 情報処理装置及びプログラム |
| US20230418720A1 (en) * | 2020-11-30 | 2023-12-28 | Nec Corporation | System monitoring apparatus, system monitoring method, and computer readable recording medium |
| CN115333837A (zh) * | 2022-08-15 | 2022-11-11 | 广东省云桥通网络科技有限公司 | 一种基于日志分析的势态感知系统 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3971353B2 (ja) * | 2003-07-03 | 2007-09-05 | 富士通株式会社 | ウィルス隔離システム |
| JP4412031B2 (ja) * | 2004-03-31 | 2010-02-10 | 日本電気株式会社 | ネットワーク監視システム及びその方法、プログラム |
| JP4980581B2 (ja) * | 2004-04-16 | 2012-07-18 | 新日鉄ソリューションズ株式会社 | 性能監視装置、性能監視方法及びプログラム |
| JP4573179B2 (ja) * | 2006-05-30 | 2010-11-04 | 日本電気株式会社 | 性能負荷異常検出システム、性能負荷異常検出方法、及びプログラム |
| JP2008059102A (ja) * | 2006-08-30 | 2008-03-13 | Fujitsu Ltd | コンピュータ資源監視プログラム |
| EP2523115B1 (en) * | 2010-01-08 | 2020-05-06 | Nec Corporation | Operation management device, operation management method, and program storage medium |
| WO2012086824A1 (ja) * | 2010-12-20 | 2012-06-28 | 日本電気株式会社 | 運用管理装置、運用管理方法、及びプログラム |
| JP2014153736A (ja) * | 2013-02-05 | 2014-08-25 | Fujitsu Ltd | 障害予兆検出方法、プログラムおよび装置 |
-
2015
- 2015-03-26 JP JP2015065210A patent/JP6574332B2/ja not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102244128B1 (ko) * | 2020-10-19 | 2021-04-23 | (주)시큐레이어 | 컴퓨팅 리소스 수용량에 기반한 네트워크 공격 강도 측정 기법을 사용하는 네트워크 호스트 공격 탐지 방법 및 장치 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016184358A (ja) | 2016-10-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6574332B2 (ja) | データ分析システム | |
| US12225042B2 (en) | System and method for user and entity behavioral analysis using network topology information | |
| US20220377093A1 (en) | System and method for data compliance and prevention with threat detection and response | |
| US11757920B2 (en) | User and entity behavioral analysis with network topology enhancements | |
| US20240297904A1 (en) | Ordering security incidents using alert diversity | |
| US20240080338A1 (en) | Detecting and mitigating forged authentication attacks within a domain | |
| JP6201614B2 (ja) | ログ分析装置、方法およびプログラム | |
| EP3356985B1 (en) | Detection of security incidents with low confidence security events | |
| US9565203B2 (en) | Systems and methods for detection of anomalous network behavior | |
| Wan et al. | Feature-selection-based ransomware detection with machine learning of data analysis | |
| EP3192232B1 (en) | Dynamic quantification of cyber-security risks in a control system | |
| US20150215329A1 (en) | Pattern Consolidation To Identify Malicious Activity | |
| US9830453B1 (en) | Detection of code modification | |
| EP3085023B1 (en) | Communications security | |
| WO2010091186A2 (en) | Method and system for providing remote protection of web servers | |
| KR102462128B1 (ko) | 컴퓨터 보안 사건을 보고하기 위한 시스템 및 방법 | |
| JP2019028891A (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| CN116938600B (zh) | 威胁事件的分析方法、电子设备及存储介质 | |
| KR101940512B1 (ko) | 공격특성 dna 분석 장치 및 그 방법 | |
| US20030084344A1 (en) | Method and computer readable medium for suppressing execution of signature file directives during a network exploit | |
| US12506751B2 (en) | Method and system for scoring severity of cyber attacks | |
| JP2009048317A (ja) | セキュリティ評価方法、セキュリティ評価装置 | |
| JP3790750B2 (ja) | 不正アクセス検出装置、不正アクセス検出方法およびプログラム | |
| Khordadpour et al. | FIDS: Fuzzy Intrusion Detection System for simultaneous detection of DoS/DDoS attacks in Cloud computing | |
| CN119728303A (zh) | 一种基于防火墙的银行虚拟桌面远程访问控制方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180131 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180919 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181030 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181228 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190528 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190712 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190806 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190816 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6574332 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |